Задать вопрос
besogonskiy
@besogonskiy
работаю php laravel разработчиком.

Загрузка картинок товаров поставщика может ли ставить под угрозу безопасность сайта?

Каждый поставщик товаров имеет возможность на нашем сайте через свой кабинет загрузить свой каталог товаров. При загрузке товаров мы выкачиваем картинки по предоставленному поставщиком url и кладем в нужную папку.

Вопрос - если в катинку прошит какой-нибудь вредоносный код, может ли пострадать наш сайт и как от этого защититься?

Или же хранить картинки за пределами папок сервера, а на отдельном облачном сервисе?

Пока интересует два вопроса:

- могут ли пользователи, зашедшие на сайт подцепить вредоносный код загружая картинки;
- может ли наш сайт сам заразиться после загрузки картинки ?
  • Вопрос задан
  • 111 просмотров
Подписаться 2 Средний 2 комментария
Пригласить эксперта
Ответы на вопрос 3
hetmansoftware
@hetmansoftware
Руководитель Hetman Software
В файле любого формата содержится служебная информация. Вместо нее вполне может оказаться и код вируса. Но для его запуска файл должен быть открыт уязвимым приложением (каким - зависит от вируса и формата файла).

Если вы уверены, что не будете открывать файлы такими приложениями, можете докачивать. Однако на вашем месте я бы перестраховался. Файлу лучше проверять антивирусом или пересохранять в другой формат "на лету".
Ответ написан
Ranwise
@Ranwise
проверяйте картинки по mime типу, картинка jpg\png, а не mp3 файл с расширением

могут поломать подвесить сервак при ресайзе, если нету проверки на разрешение изображения (разрешение 10 000 на 10 000 и больше) яля zip-bomb может уложить слабый сервак
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Вопрос - если в катинку прошит какой-нибудь вредоносный код, может ли пострадать наш сайт и как от этого защититься?
Да. Может пострадать.
Защититься можно только написав фильтр с правилами для контроля "тела" загруженного файла, который будет проверять все файлы сразу же после их загрузки в "отстойник".
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы